ESETは6月3日(現地時間)、「The murky world of password leaks – and how to check if you’ve been hit」において、パスワードの流出について、確認する方法や防衛策について伝えた。
約260億件の漏洩データを確認
ESETは最近、LinkedInやX(旧Twitter)などのオンラインサービスから流出したとみられる膨大な漏洩データの報告書を確認したという。このデータにはログイン資格情報や機密情報が含まれ、約260億件のレコードが存在したと報告されている。260億件という世界人口を上回る膨大な件数は、これまでに報告された漏洩データの件数を上回るとされる。
このようにユーザーの知らない所で認証情報や機密情報は日々流出しており、被害を軽減するために流出を確認することは重要とされる。ESETは流出の有無を手軽に確認する方法として「Have I Been Pwned: Check if your email has been compromised in a data breach」の利用を提案している。
このWebサイトは無償でサービスを提供しており、自身のメールアドレスを入力するだけで流出の有無を確認することができる。複数のメールアドレスを使い分けている場合は、それぞれのメールアドレスについて確認する必要がある。
他にも、Webブラウザのパスワードマネージャーから流出を確認する方法を提案している。Google ChromeやMozilla Firefoxにはパスワードが既知の漏洩データに含まれているかを確認する機能がある。ただし、Webブラウザのパスワードマネージャーをこうした目的で活用することは推奨されていないため、影響を確認したら速やかに認証情報を削除したほうがベターだ。
パスワードを保護する方法
ユーザーがパスワードを保護する方法としては、パスワードマネージャーの利用が推奨されている。パスワードマネージャーにはさまざまな方式のものが存在しており、ユーザーの実情に合わせて適切に選択する必要がある。なお、Webブラウザーに標準搭載のパスワードマネージャーはサイバー犯罪者に積極的に狙われるため推奨されていない。
ユーザーはパスワードマネージャーを利用することで不正アクセスを防止し、ユーザー環境からの流出を軽減することができる。しかしながら、オンラインサービスを運営する企業側から流出することは防げない。このようなパスワードの流出に備え、ユーザーには多要素認証(MFA: Multi-Factor Authentication)の利用が推奨されている。
多要素認証を利用するとパスワードの流出被害に遭遇しても、不正アクセスを高い確率で防止できる。また、近年はパスワードを使用しない「パスキー」と呼ばれる安全な認証方式を採用するオンラインサービスが増加しており、積極的に利用することが望まれている。
企業側の防衛策としては、エンドポイント検出応答(EDR: Endpoint Detection and Response)の導入が推奨されている。他にも初期の侵入経路となりやすい従業員のトレーニング実施や、情報漏えい対策(DLP: Data Loss Prevention)ソリューションの導入検討も推奨されている。